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(54) PROCEDE D'AUTHENTIFICATION ET DE SIGNATURE DE MESSAGE UT1LISANT DES ENGAGEMENTS DE 
TAILLE REDUITE. 

(57) procede d'authentification utilisant des engagements 
de taiile reduite. , „ 

Selon I'lnvention, on reduit la taille de I engagement 
mais on controle le temps mis par I'entite & authentifier pour 
repondre a I'entite authentifiante et Ton impose que ce 
temps soit inferieur & une certaine valeur. Le niveau de se- 
curite est conserve. 

Application aux precedes d'authentification (dentttes, 
de messages) ou de signature de messages. 




• — • 

2792142 

l 

PRO CEDE D'AUTHENTIFICATION ET DE SIGNATURE DE MESSAGE 
UTILISANT DES ENGAGEMENTS DE TAILLE REDUITE 

DESCRIPTION 

5 

Doraaine technique 

La presente invention a pour objet un proc6de 
d'authentification et de signature de message utilisant 
des engagements de taille reduite. 
10 L 1 invention concerne le domaine de 

1» identification (c ' est-a-dire 1 ' authent if ication 
d'entite) ainsi que celui de 1 ■ authentif ication de 
message et de signature numerique de message, au moyen 
de techniques cryptographiques . 
15 L 9 invention concerne plus precisement la 

cryptographie dite & cle publique. Dans ce domaine, 
I'entite £ authentifier possfede une cle secrete et une 
cl6 publique associSe. L'entite authentif iante a 
uniquernent besoin de cette cle publique pour rSaliser 
20 1 1 authentif ication. 

L f invention concerne plus precisement encore le 
domaine des proced^s d* authentif ication dits £ 
connaissance nulle ou sans apport de connaissance 
("zero-knowledge" en anglais). Cela signifie que 
25 1 'authentif ication se deroule suivant un protocole qui, 
de fagon prouv£e, et sous des hypotheses reconnues 
comme parfaitement raisonnables par la communaute 
scientif ique, ne r6v£le rien sur la cl6 secrete de 
l'entitd A authentifier. 
30 L 1 invention trouve une application dans tous les 

systemes oil l'on veut authentifier des entites ou des 
messages, ou signer des messages, et plus 
particuli^rement dans les systemes oil le nombre de bits 



2792142 



2 

transmis et/ou stockes constitue un parametre critique. 
C'est notamment le cas des cartes A microcircuit 
standard ou A bas coflt, non pourvues d'un coprocesseur 
arithmetique (appele souvent cryptoprocesseur) pour 
acc61erer les calculs cryptographiques . 

Une application typique de l 1 invention est le 
porte-monnaie 61ectronique, qui requiert un tr6s haut 
niveau de s6curit6, tout en excluant 1' usage d'un 
cryptoprocesseur, soit pour des raisons de cout, soit 
pour des raisons techniques (par exemple utilisation 
d'une interface sans contact), soit pour les deux. 

Une autre application possible est la telecarte de 
future generation, pour laquelle les contraintes de 
cout sont encore plus s£v§res que pour le porte-monnaie 
electronique . 

Etat de la technique anterieure 

De nombreux protocoles d 1 identification sans 
apport de connaissance sont connus. On peut citer entre 
autres les quatre protocoles suivants : 

1) le protocole de FIAT-SHAMIR decrit dans : A. 
FIAT et A. SHAMIR, "How to prove yourself : Practical 
solutions to identification and signature problems", 
public dans Advances in Cryptology ; Proceedings of 
CRYPTO * 86, Lecture Notes in Computer Science, vol, 263, 
Springer-Verlag, Berlin, 1987, pp. 186-194 ; 

2) le protocole de GUILLOU-QUISQUATER decrit 
dans : L.C. GUILLOU et J-J. QUISQUATER, "A practical 
zero-knowledge protocol fitted to security 
microprocessors minimizing both transmission and 
memory", publi6 dans Advances in Cryptology : 
Proceedings of EUROCRYPT 1 8 8 , Lecture Notes in Computer 
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Science, vol. 330, Springer-Verlag, Berlin, 1988, pp. 
123-128 ; 

3) le protocole de SCHNORR decrit dans : c.P. 
SCHNORR, "Efficient identification and signatures for 
5 smart cards", publie dans Advances in Cryptology : 
Proceedings of CRYPTO' 89, Lecture Notes in Computer 
Science, vol. 435, Springer-Verlag, Berlin, 1987, pp. 
239-252 ; 

4) le protocole de GIRAULT decrit dans la demande 
10 de brevet francais FR-A-2 716 058. 



De facon generale, la plupart des protocoles 
d'authentification sans apport de connaissance se 
deroulent en 4 etapes. On supposera, pour simplifier, 
15 que l'entite authentif iante, notee B, connait deja tous 
les parametres publics caracteristiques de l'entite a 
authentifier, notee A, a savoir son identite, sa cle 
publique, etc... Les quatre etapes sont alors les 
suivantes : 
20 Etape 1 : 

A fournit a B au moins un engagement c, constitue 
soit par un parametre x choisi au hasard par A, soit 
par une fonction pseudo-aleatoire h du parametre x et, 
s'il y a lieu, du message a authentifier ou a signer : 
25 c=h(x,[Mj), (la notation [M] exprime que M est 
optionnel) . 
Etape 2 : 

B choisit au hasard un parametre e appele 
"question" et transmet e a A. 
30 Etape 3 : 

A fournit a B une reponse y, coherente avec la 
question e, 1' engagement c et la cle publique v de A. 
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Etape 4 : 

• B calcule x a partir des elements y, e et v soit 
x=<f>(V,e,v) puis vdrifie que : c=h (cp ( v, e, y ) , [M]) . 

5 Dans certains protocoles, il y a un ou deux 

echanges supplementaires entre A et B. Dans le cas 
d f une signature de message, les deux premiers echanges 
sont supprim<§s, et le param^tre e est choisi egal a c : 
A calcule successivement, et seul, c, e (c ' est-a-dire c) 

0 et y. 

Le nombre u de questions pouvant etre choisies par 
B est directement reli6 au niveau de securite du 
protocole, lequel depend de la probability de succSs 
d'un imposteur (c ' est-a-dire d'une entity C qui tente 
f rauduleusement de se faire passer pour A) . Ce niveau 
de s^curite, note p, est caract6ris6 par un paramdtre 
k, selon la relation p=l-2~ k . En d'autres termes, 
1' imposteur n'a qu'une chance sur 2 k de reussir son 
imposture. On peut montrer que, si le protocole repose 
sur un probldme mathematique difficile, et si les 
engagements sont de longueur suffisante, alors il 
suffit que la longueur de u soit 6gale a k bits. En 
d'autres termes, la question doit etre choisie dans 
l 1 ensemble {0, ♦ 2 k -l} (bornes incluses) . 

Dans l'6tat de la technique, k est 6gal a 32 bits, 
ce qui donne seulement une chance sur quatre milliards 
de rSussir une imposture, Dans les applications ou 
lichee d'une identification peut avoir des 
consequences trds n^fastes (poursuite judiciaire par 
exemple) , cette longueur peut etre r6duite a quelques 
bits . 
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Dans leur version de base, aucun des protocoles 
mentionnes ne peut etre mis en oeuvre dans une 
application a fortes contraintes, comme celles qui ont 
ete evoquees plus haut, car les calculs requis ne 
peuvent etre effectues par une carte a microcircuit non 
dotee d'un cryptoprocesseur . 

Une premiere optimisation, due a FIAT et SHAMIR, 
concerne le nombre de bits echanges entre les deux 
entites. Elle consiste a utiliser une fonction de 
hachage lors du calcul de 1 'engagement . A elle seule, 
cette optimisation ne permet pas de diminuer le nombre 
de calculs effectues par l'entite authentif iee, car 
l 1 engagement continue d'etre calcule par elle. 

Pour diminuer ce nombre, il faut faire appel a un 
15 mode d ' utilisation particulier, que l'on appelle mode a 
precalculs, consistant a calculer a l'avance des 
parametres que l'on appellera pre-engagements et qui 
entrent dans le calcul des engagements. On peut aussi 
faire calculer des engagements par un serveur disposant 
d'une puissance de calcul superieure, puis les stocker 
dans la carte a microcircuit de l'entite a 
authentifier. Au moment precis de la transaction 
electronique, la carte a microcircuit n'a plus alors a 
effectuer que des calculs rudimentaires . Ce mode 
25 d' utilisation est divulgue dans la demande FR-A- 
2 716 058 citee. Chaque pre-engagement est utilise pour 
une et une seule transaction. Lorsque tous les pre- 
engagements ont ete consommes par la . carte, il est 
necessaire d'en recalculer de nouveaux et de les 
stocker dans la carte (operation de rechargement ) . 

La m6moire de donnees d'une carte a microcircuit a 
bas cout ne depassant que rarement 8 Koctets, il est 
difficilement concevable de consacrer plus de 1 Koctet 
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au seul stockage des pre-engagements . II est done 
necessaire de r6duire autant que possible la taille de 
ces derniers, pour r<§aliser un maximum de transactions 
entre deux rechargements . 

Dans tous ces procedSs d » authentif ication, on peut 
definir une capacite de calcul qui est le nombre 
maximum de calculs que les moyens mis en ceuvre peuvent 
effectuer en un temps raisonnable. Comme ces calculs 
sont binaires, on peut exprimer cette capacite sous 
forme d'une puissance de 2, par exemple sous la forme 
2 U ou N est un entier. Ce nombre n'est pas determine 
avec une extreme precision, mais est defini £ quelques 
unites pr§s. Par exemple, de nos jours, 1' entier N est 
de l'ordre d'environ 80, e'est-a-dire qu'avec les 
moyens dont on dispose, la capacite est de 2 80 , c'est-£- 
dire qu'on peut effectuer au maximum environ 2 80 
operations dans un temps raisonnable. 

Dans la version de base du proc6de decrit dans la 
demande FR-A-2 716 058 citee, la taille des prS- 
engagements ou des engagements eux-memes est d'environ 
2N bits, oil le nombre N est pris £gal £ environ 80. La 
taille d'un pre-engagement est done de l'ordre de 
160 bits (elle est de 128 bits dans le document cit6, 
oil N est pris <§gal £ 64). On peut done stocker 50 
engagements dans une m§moire de 1 Koctet, ce qui est 
relativement peu. 

Dans une autre demande FR-A-2 752 122, il est 
decrit un proc^de d* authentif ication permettant de 
r6duire le nombre de bits 5 transmettre ou a stocker. 
La taille des pr6-engagements ou des engagements peut 
etre reduite d un peu plus de N bits (soit environ 88 
avec N=80), ce qui permet de stocker plus de 90 pre- 
engagements dans une m^moire de 1 Koctet et de reduire 
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jusqu'a 18% des bits transmis lors de l'execution du 
protocole. 

Malheureusement,. ce gain reste insuffisant pour de 
nombreuses applications, en particulier pour le porte- 
5 monnaie electronique. Beaucoup de transactions peuvent 
ne concerner que de tres petit montants (transports en 
commun, parcmetres, telecommunications locales, 
etc...), et 1 'utilisateur doit pouvoir effectuer des 
transactions jusqu'a epuisement du solde, sans etre 
10 limite par aucune autre consideration. Dans ce 
contexte, un minimum de 150 a 200 transactions sans 
rechargement semble devoir Stre exige, ce que les 
procedes connus ne permettent pas. 

C'est justement le but de la presente invention de 
15 reduire encore la taille des pre-engagements et, 
optionnellement, des engagements eux-memes. Selon 
1' invention, on peut descendre a environ 48 bits, ce 
qui permet de stocker 170 pre-engagements dans une 
memoire de 1 Koctet. Dans certaines applications, cette 
20 taille peut etre encore inferieure et par exemple 
tomber a 32 bits, ce qui permet de stocker 256 pre- 
engagements. 

L ' invention rend ainsi possible l'execution rapide 
d'un algorithme d ' identification ou d'authentif ication 
25 de message ou de signature de message, dans une carte a 
microcircuit standard a bas coOt, pour des applications 
telles que le porte-monnaie electronique ou la 
telecarte de future generation. 



30 Expose de 1' invention 

L' invention repose sur 1 * observation suivante : la 
capacite de calcul est tres fortement diminuee 
(typiquement 2 16 au lieu de 2 80 ) si on contraint le 
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fraudeur a effectuer les calculs dans un laps de temps 
petit et avec des moyens de calcul reduits. 

Partant de cette observation, 1' invention propose 
de mesurer le temps At mis par l'entite a authentifier 
pour repondre a l'entite authentif iante et de limiter 
ce temps a une valeur maximum At„, ax . 

Dans le laps de temps At™*, les moyens mis en 
ceuvre ont une capacite de calcul egale a 2 P (selon les 
considerations developpees plus haut) . Ce nombre 2 P est 
naturellement inferieur au nombre 2 N en raison de la 
contrainte qui pese sur le temps accorde pour effectuer 
ces calculs. L' invention propose alors de prendre comme 
taille des pre-engagements ou des engagements le nombre 
k+P ou un nombre superieur mais restant inferieur a 
k+N. Typiquement, le nombre P peut etre de l'ordre de 
16, de sorte que si k=32, la taille du pre-engagement 
ou de l'engagement sera de 32+16 soit 48 bits ou un peu 
plus (a comparer avec les 128 ou 88 bits dans les deux 
demandes de brevet deja citees) . 

Deux options s' off rent alors : 

- une premiere option dans laquelle on allonge la 
question e (qui, dans l'art anterieur, possede 
une taille de k bits), ce qui, typiquement, 
donne une taille d' environ 64 bits ; 

- une seconde option dans laquelle on ajoute au 
protocole un echange preliminaire au cours 
duquel B envoie un nombre aleatoire w a A, 
(typiquement 32 bits), lequel nombre w 
constitue un parametre supplementaire pris en 
compte pour le calcul de l'engagement c : 
c=h(oc, w,[M]) ; l'intervalle de temps At a 
mesurer est alors celui qui s'ecoule entre 
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l'envoi de l'echange preliminaire et la 
reception des parametres e et y. La question 
pos6e e peut garder alors la taille de k bits. 
Pour une signature de message, cette seconde 
5 option doit etre obligatoirement retenue. L'interet de 
cette seconde option est que la taille de la question e 
reste rEduite. Or, dans certains protocoles (notamment 
ceux de FIAT-SHAMIR et de GUILLOU-QUISQUATER) , le temps 
de calcul de la reponse y depend beaucoup de la 
10 longueur de e, alors que le temps de calcul de 
1' engagement c depend tr6s peu de la longueur de w. 
Pour ces protocoles, la seconde option permet done de 
diminuer la taille des engagements sans augmenter 
notablement le temps d 1 execution du protocole. Par 
L5 ailleurs, cette seconde option est la seule possible 
dans le cas de la signature de message, puisqu'il n'y a 
plus de question a proprement parler. 



Le niveau de securite du protocole selon 
0 1 'invention (c y est-a-dire la probability minimale de 
detection d'un imposteur) est equivalent £ celui des 
protocoles connus (l-2' k ), alors que la longueur des 
pr6-engagements ou des engagements est divis^e par 
presque quatre. On peut demontrer cette Equivalence des 
niveaux de s£curit6 de la mani&re suivante, Soit C un 
fraudeur, qui chercherait £ se faire passer pour A (ou 
& f aire croire que le message M provient de A) . c ne 
connait evidemment pas la cl§ secrete de A. II peut 
mettre en oeuvre essentiellement trois strategies, que 
l'on peut designer par "fraude par devinette", "fraude 
en temps r<§el" (effectu<§e pendant la transaction) et 
"fraude en temps diff6re" (effectuee avant la 
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transaction), strategies qui peuvent d'ailleurs etre 
combinees : 

a) fraude par devinette : 

- premiere option : C devine la valeur de la 
5 question e en la choisissant au hasard, choisit la 
reponse y au hasard et calcule c=h ( 9 (v, e , y) , [ M J> . Puis 
il commence la transaction avec cette valeur de c. II 
ne reussira que s'il a bien devine e, done avec une 
probabilite de 2' 6A . 

- seconde option : C devine la valeur de la 
question e en la choisissant au hasard, choisit la 
reponse y au hasard et calcule c=h (<p(v, e, y) , w, [m]) . il 
ne peut le faire qu ' une fois connu w, done pendant la 
transaction. Puis il continue la transaction avec cette 
valeur de c. II ne reussira que s'il a bien devine e, 
done avec une probabilite de 2' 6t . 
b) fraude en temps r6el : 

Apres avoir envoye une valeur (au hasard) de c, et 
recu une valeur de e, C recherche par essais exhaustifs 
une valeur de y qui satisfasse 1' equation de 
verification c=h(<p(v,e,y) ,[M]) . Puisqu'il peut effectuer 
un maximum de 2 P essais, et que le nombre de valeurs 
possibles de c est 2 k * p , sa probabilite de reussite est 
l/2 k , comme souhaite. 
c) fraude en temps differe : 

- premiere option : C calcule un grand nombre de 
valeurs de c a partir de diverses valeurs de y et e. 
Puisqu'il peut en calculer un maximum de 2\ il y aura 
pour chaque valeur possible de c environ 2 M ' p " k valeurs 
correspondantes de y et de e. C choisit une quelconque 
de ces valeurs, stocke les valeurs de y et e 
correspondantes et entame le protocole. Puisqu'il y a 
2*" p valeurs possibles de e, la probabilite que C ait 
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stocke la valeur qui lui est envoyee par B est de 
nouveau inferieure a 1/2 15 , comme souhaite. 

- seconde option : le calcul est essentiellement 
le mfirae que pour la premiere option, puisque la taille 

5 totale des deux nombres aleatoires w et e est egale a 
la taille de e dans la seconde option. 

De facon precise, la presente invention a done 
pour objet un procede d ' authent if ication mettant en 
10 oeuvre une premiere entite dite a "authentif ier" (A) et 
une seconde entite dite "authentifiante" (B) , ce 
procede comprenant les operations suivantes : 

- l'entite a authentifier (A) envoie au moins un 
engagement c a l'entite authentif iante (B) , cet 

15 engagement ayant une certaine taille comptee en 

nombre de bits, 

- l'entite authentif iante (B) recoit cet 
engagement c, choisit au hasard un nombre e 
appele "question" et envoie cette question e a 
l'entite a authentifier (A), 

- l'entite a authentifier (A) recoit la question 
e, effectue des calculs utilisant cette 
question e, le resultat de ces calculs 
constituant une reponse y et envoie cette 

25 reponse y a l'entite authentifiante (B) , 

- l'entite authentifiante (B) recoit la reponse 
y, effectue un calcul utilisant cette reponse y 
et verifie que ce calcul redonne 1' engagement 
recu c, 

un niveau de securite egal a 1-2'* etant obtenu pour 
cette authentif ication ou k est un entier que l'on se 
fixe selon le niveau de securite desire, 



20 



30 



2792142 



12 

ce proc6de etant caracterise en ce que l'entite 
authentif iante (B) mesure 1' intervalle de temps (At) 
s'ecoulant entre l'instant ou elle s'adresse a l'entite 
£ authentifier (A) et l'instant ou elle repoit la 

5 reponse de l'entite A authentifier (A), et elle v6rifie 
que 1' intervalle de temps mesure (At) est inferieur A 
un intervalle de temps determine At^*, et en ce que, 
l'entite £ authentifier (A) ayant une capacite de 
calcul d' environ 2 P dans ledit intervalle de temps 

3 determine (At^) , 1 'engagement c utilise par l'entite £ 
authentifier (A) possede une taille egale au moins £ 
(k+P) bits. 

Dans cette definition, il faut comprendre que la 
taille peut etre soit <§gale A (k+P) bits, soit etre 
sup6rieure de quelques unites A ce nombre. 

Dans un mode de mise en oeuvre particulier, 
l'entite d authentifier (A) calcule 1 'engagement & 
partir d'un pr£-engagement calcule £ 1'avance, lequel 
possede une taille 6gale A au moins (k+P) bits. Mais 
l'entite a authentifier peut egalement calculer 
1' engagement par tirage au hasard d'un nombre et 
calculs £ partir de ce nombre. 

Dans une autre variante de mise en oeuvre, l'entite 
authentifiante (B) , dans une operation preiiminaire, 
choisit au hasard un nombre w et envoie ce nombre w A 
l'entite d authentifier (A) laquelle utilise ce nombre 
w pour constituer 1 ' engagement, la question e pos6e par 
l'entite authentifiante (B) possedant un nombre de bits 
egal £ k, 1' intervalle de temps mesure etant 
1' intervalle compris entre 1' instant od l'entite 
authentifiante (B) envoie le nombre w A l'entite £ 
authentifier (A) et I'instant oil l'entite 
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authentifiante (B) regoit la reponse y de l'entite a 
authentifier (A) . 

La presente invention a egalement pour objet un 
procede de signature de message dans lequel on met en 
oeuvre une premiere entite dite "signataire" (A) et une 
seconde entite dite "authentifiante" (B) , ce procede 
comprenant les operations suivantes : 

- l'entite signataire (A) calcule un nombre e 
fonction du message £ signer et calcule un 
nombre y appele reponse, et envoie cette 
reponse A l'entite authentifiante (B) , 

- l'entite authentifiante (B) regoit la rdponse 
y, effectue un calcul utilisant cette reponse y 
et verifie que ce calcul redonne le nombre e, 

un niveau de securite egal a l-2" k etant obtenu pour 
cette signature oO k est un entier que I'on se fixe 
selon le niveau de securite desire, 
ce procede etant caracterise en ce que : 

- l'entite signataire (A) calcule un nombre e 
dont la taille est egale A au moins (k+P) bits 
oCi 2 P represente la capacite de calcul de 
l'entite A authentifier (A) dans un intervalle 
de temps fixe (Atmax) , 

- dans une operation preliminaire, l'entite 
authentifiante (B) choisit au hasard un nombre 
w et envoie ce nombre w & l'entite signataire 
(A) laquelle utilise ce nombre w pour 
constituer le nombre e, 

- l'entite authentifiante (B) mesure 1' intervalle 
de temps At qui s'6coule entre 1' instant oCi 
elle envoie le nombre w A l'entite signataire 
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(A) et 1' instant oix elle re?oit la reponse y de 
l'entite signataire (A), et elle v£rifie que 
l'intervalle mesure At est inferieur a 
l^intervalle de temps fixe At max . 
LA encore, l'entite signataire peut calculer le 
nombre e • & partir d'un preengagement calcuie £ 
l'avance, lequel possede une taille egale a au moins 
(k+P) bits, a quelques unites pr6s. 

Description detaillee de modes particuliers de 
realisation 

Dans la description qui suit, on supposera que 
1" invention s' applique dans le cadre de la technique 
divulguee dans la demande de brevet FR-A-2 716 058 dej£ 
citee, technique dans laquelle les multiplications 
modulaires sont supprimees, notamment dans l'op6ration 
de I'etape 3. Ce type d' operations n'a done pas besoin 
d'etre pr6vu dans la carte & microcircuit quand le mode 
A pr<§calculs est utilise. Naturellement , cet exemple ne 
limite pas la portee de 1' invention qui peut etre 
utilisee avec des protocoles A multiplications 
modulaires . 

Les protocoles conformes £ la demande citee sont 
bas^s sur la difficulty de calculer les logarithmes 
discrets. Les ' paramfetres universels (c ' est-A-dire 
partag4s par tous les utilisateurs) sont : 

- un grand nombre compose n, 

- un entier a (la "base"), 

- quatre parametres t, k, u, z, ou k est le 
parametre de s6curite. 

La longueur recommand6e pour n est (au moins) de 
512 bits, et de preference 768 bits ou plus, Une valeur 
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typique du paramdtre de s<§curite k est 32. Le parametre 
u designe le nombre de questions possibles (on a done 
u=2 k ) . Une valeur typique de la longueur de t est 160 
bits. Une valeur typique de la longueur de z est 64 
5 bits. 

La cle secrete d'un utilisateur est un entier s 
inferieur At. Sa cle publique est : v=a" s (mod n) . 

Le protocole d'authentif ication de base, divulguS 
dans cette demande anterieure, est le suivant : 
3 1. A choisit au hasard un entier r dans 

{0...tuz-l}, calcule x=a r (mod n) et envoie c £ B. 

2. B choisit au hasard un element e dans {0 . 
2 k -l} et envoie e £ A . 

3. A calcule y-r+se et envoie y a B. 

4. B verifie que x=aV(mod n) . 



On remarque qu'un imposteur (qui par hypothSse 
ignore s) peut tromper un verificateur avec une 
probability egale A 2" k , en choisissant un entier y, un 
20 element e et en calculant x comme dans l'etape 4. Cornme 
on peut prouver que, si le problSme du logarithme 
discret est difficile, il ne peut substantiellement 
anu§liorer cette probability, le niveau de s6curite est 
done 6gal £ l-2* k . 
25 Afin de diminuer le nombre de bits transmis, on 

peut, comme l'on sugg<§r6 FIAT et SHAMIR, prendre comme 
engagement c=h(x) . oCi h est une fonction pseudo- 
al<§atoire. L'equation de verification de l'etape 4 
devient alors : 

>0 c=h(a y v e (mod n) ) . 
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Si l'on veut, de surcroit, authentif ier un message 
M, alors on introduit M dans le calcul de 
1 ■ engagement : c=h (x, M) . 

Afin de conserver un niveau de securite egal & 
5 l-2" k , il est n^cessaire, toutes choses egales par 
ailleurs, que la longueur de c soit au moins 160 bits. 

Ce rappel etant effectual, on peut decrire le 
protocole correspondant selon la prdisente invention 
10 dans une variante utilisant la premiere option. On 
prendra N=80 et 9=16 et en supposant que les longueurs 
du pr6-engagement et de 1 'engagement sont toutes deux 
reduites £ leur minimum, c'est-a-dire & 48 bits, cette 
reduction etant compensee par une augmentation de la 
15 longueur de e, qui passe £ 64 bits. De plus, a l'etape 
4, un controle du temps mis par A est effectuS par B. 
De la sorte, le niveau de securite du protocole modifi6 
reste egal A l-2~ k . Les etapes du procede selon 
1' invention deviennent alors ; 

20 

1. A choisit au hasard un entier r dans {0 

...tuz-1}, calcule x=a r (mod n) , puis eventuellement 

c f =f(x) qui appartient A {0 . ..2 48 -l}, puis c=h (x, w, [M]) , 

ou c=h(x',w,[M], qui appartient d {0 . .. 2 48 -l} et envoie 
25 c A B. 

2. B choisit au hasard un Element e dans (0 ... 
2 64 -l} et envoie e £ A. 

3. A calcule y=r+se et envoie y A B. 

4. B v6rifie que c=h(a y v e (mod n),[M]) ou 
30 c=h(f (aV(mod n),[M]) et que l'intervalle de temps entre 

1' Emission de l'etape 2 et la reception de l'etape 3 
est inferieur A une ou deux secondes. 
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L 1 invention est particulidrement bien adaptde A un 
tel protocole de base, car elle n'entraine aucun 
changement des parametres universels principaux, a 
5 savoir n et a, ni m§me des parametres individuels (cles 
secrete et publique de 1 1 utilisateur ) . En revanche, 
elle implique un allongement de e, car u est maintenant 
§gal £ 2 64 (mais ceci ne serait plus vrai si 1 9 on 
adoptait la seconde option) . 
3 Par ailleurs et surtout, 1' invention est 

particulidrement utile dans le mode a precalculs, 
puisque les pre-engagements ont une taille r6duite a 48 
bits. Certes, il faut au pr^alable stocker non 
seulement les pre-engagements mais aussi les valeurs de 
> r correspondantes. Cependant, il est possible d'eviter 
cela en g6n6rant ces nombres £ l'aide d'un gen6rateur 
pseudo-al£atoire contenu dans le dispositif de s<§curite 
de A, comme il est decrit dans la demande FR-A-2 716 
058 dejA citee. 

Si l'on opte pour la seconde option, le proc6d6 
comprend une 6tape supplementaire et prealable not6e 0 
et devient : 

0, B choisit au hasard un nombre aleatoire w dans 
{0 . . . 2 32 -l} et l'envoie & A. 

1. A choisit au hasard un entier r dans {0 ... 

tuz-1}, calcule x=a r (mod n) puis 6ventuellement x'=f(x) 

qui appartient £ {0 . 2 49 -l], puis c=h (x, w, [M]) , ou 

c=h(x',w,[M] qui appartient a {0 . . . 2 48 -l}, et envoie c 
a B. 
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2. B choisit au hasard un element e dans {0 ... 
2 32 -l} et envoie e £ A. 

3. A calcule y=r+se et envoie y £ B . 

4. B verifie que c=h(a y v e (mod n) ,w,[M]) ou 
c=h ( f (a y v e (mod n)),w,[M])) et que l'intervalle de temps 
entre 1' emission de I'etape 0 et la reception de 
l'6tape 3 est inf6rieur £ une ou quelques secondes. 

Enfin, le protocole de signature sera : 

0. B choisit au hasard un nombre aleatoire w dans 
{0 . . . 2 64 -l} et 1'envoie a A. 

1. A choisit au hasard un entier r dans {0 
. ..tuz-1} et calcule x=ct r (mod n) puis §ventuellement 
x'=f(x), qui appartient & {0 ... 2 48 -l}. 

2. A calcule e=h (x, w, [M]) qui appartient a {0 
...2 48 -l}. 

3. A calcule y=r+se et envoie (e,y) £ B. 

4. B verifie que e=h(cc y v e (mod n) , w,[M]) et que 
l'intervalle de temps entre 1' emission de I'etape 0 et 
la reception de I'etape 3 est inferieur £ une ou 
quelques secondes . 
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REVENDICATIONS 

1. Procede d ' authentif ication mettant en oeuvre 
une premiere entite dite a "authentif ier" (A) et une 
5 seconde entite dite "authentif iante" (B) , ce procede 
comprenant les operations suivantes : 

- 1 'entite a authentifier (A) envoie au moins un 
engagement c a l'entite authentif iante (B) , cet 
engagement ayant une certaine taille comptee en 

10 nombre de bits, 

- l'entitd authentif iante (B) recoit cet 
engagement c, choisit au hasard un nombre e 
appele "question" et envoie cette question e a 
l'entite a authentifier (A), 

15 _ l'entite a authentifier (A) recoit la question 

e, effectue des calculs utilisant cette 
question e, le resultat de ces calculs 
constituant une reponse y et envoie cette 
reponse y a l'entite authentif iante (B) , 
20 ~ l'entite authentif iante (B) regoit la reponse 

y, effectue un calcul utilisant cette reponse y 
et verifie que ce calcul redonne 1' engagement 
recu c, 

un niveau de securite egal a l-2" k etant obtenu pour 
25 cette authentif ication ou k est un entier que l'on se 
fixe selon le niveau de securite desire, 

ce procede etant caracterise en ce que l'entite 
authentifiante (B) mesure l'intervalle de temps (At) 
s'ecoulant entre l'instant ou elle s'adresse a l'entite 
30 a authentifier (A) et l'instant ou elle recoit la 
reponse de l'entite a authentifier (A), et elle verifie 
que l'intervalle de temps mesure (At) est inferieur a 
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un intervalle de temps determine At ma x, et en ce que, 
l'entite £ authentifier (A) ayant une capacite de 
calcul d' environ 2 P dans ledit intervalle de temps 
determine (At roa x) , l 1 engagement c utilise par l'entite £ 
5 authentifier (A) possede une taille egale £ au moins 
(k+P) bits. 

2. Proc6de selon la revendicat ion 1, dans lequel 
l'entite k authentifier (A) calcule 1 1 engagement & 

10 partir d'un pr6-engagement calcule a l'avance, lequel 
possede une taille egale au moins A (k+P) bits. 

3. Procede d' authentif ication selon 1 1 une 
quelconque des revendications 1 et 2, dans lequel le 

15 nombre P est pris 6gal A 16 et le nombre k A 32, le 
pre-engagement ou 1* engagement ayant ainsi une taille 
egale au moins a 48 bits. 

4. Procede d ' authentif ication selon la 
20 revendication 1/ dans lequel la question e pos6e par 

1' entity authentif iante (B) possSde un nombre de bits 
sup6rieur A k. 

5. Procede selon la revendication 4, dans lequel 
25 le nombre k §tant egal £ 32 la question pos6e e par 

I'entite authentif iante (B) possSde un nombre de bits 
§gal A environ 64, 

6. Procede d 1 authentif ication selon la 
30 revendication 1, dans lequel I'entite authentif iante 

(B) , dans une operation preliminaire, choisit au hasard 
un nombre w et envoie ce nombre w & I'entite £ 
authentifier (A) laquelle utilise ce nombre w pour 
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constituer 1 • engagement c, la question e posee par 
l'entite authentif iante (B) possedant un nombre de bits 
egal a k, l'intervalle de temps (At) etant mesure entre 
1' instant oil l'entite authentif iante (B) envoie le 
nombre w a l'entite a authentif ier et 1' instant ou 
l'entite authentif iante (B) recoit la reponse y de 
l'entite a authentifier (A). 



7. Procede d ' authentif ication selon la 

10 revendication 6, dans lequel le nombre w prealablement 
fourni par l'entite authentif iante (B) a l'entite a 
authentifier (A) possede environ 32 bits, l' engagement 
ayant une taille egale au moins a 48 bits, la question 
e posee par l'entite authentif iante (B) ayant un nombre 
15 de bits egal a environ 32. 



20 



8. Procede d ' authentif ication selon l'une 
quelconque des revendications 1 a 7, dans lequel 
l'entite a authentifier (A) introduit un message (M) 
dans 1' engagement qu'elle constitue, 1 ' authentif ication 
portant alors aussi sur le message (M) . 



9. Procede de signature de message dans lequel on 
met en oeuvre une premiere entite dite "signataire" (A) 
et une seconde entite dite "authentif iante" (B) # ce 
procede comprenant les operations suivantes : 

- l'entite signataire (A) calcule un nombre e 
fonction du message a signer et calcule un 
nombre y appele reponse, fonction du nombre e 
et envoie cette reponse a l'entite 
authentif iante (B) , 



2792142 

22 

- I'entite authent if iante (B) regoit la reponse 
y, effectue un calcul utilisant cette reponse y 
et v6rifie que ce calcul redonne le nombre e, 

un niveau de security 6gal a l-2~ k 6tant obtenu pour 
cette signature oCi k est un entier que l f on se fixe 
selon le niveau de s6curite desire, 
ce proc6de etant caracteris6 en ce que : 

- I'entite signataire (A) calcule un nombre e 
dont la taille est 6gale au moins & (k+P) bits 
ou 2 P repr^sente la capacite de calcul de 
I'entite £ authentifier (A) dans un intervalle 
de temps f ix6 (At max ) / 

- dans une operation pr61iminaire, I'entite 
authentif iante (B) choisit au hasard un nombre 
w et envoie ce nombre w £ I'entite signataire 
(A) laquelle utilise ce nombre w pour 
constituer le nombre e, 

- l'entite authentif iante (B) mesure 1* intervalle 
de temps At qui s'ecoule entre 1* instant ou 
elle envoie le nombre w a l'entite signataire 
(A) et l r instant ou elle regoit la reponse y de 
l'entitd signataire (A), et elle verifie que 
1' intervalle mesur6 At est inferieur & 
1' intervalle de temps fix6 At max - 

10. Proc6de selon la revendication 9, dans lequel 
l'entite signataire (A) calcule le nombre e £ partir 
d'un pr6engagement calculi a l'avance, lequel possfede 
une taille 6gale au moins k (k+P) bits. 

11. Proced6 de signature de message selon les 
revendications 9 ou 10, dans lequel le nombre P est 




t • 
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pris egal a 16 et le nombre k a 32, le preengagement ou 
le nombre e ayant ainsi une taille egale au moins a 48 
bits. 
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